Red Hat超30个npm包被植入Miasma,专门窃取各种密钥
创始人
2026-07-17 23:37:47
0

IT之家 6 月 2 日消息,科技媒体 bleepingcomputer 昨日(6 月 1 日)发布博文,报道称 Red Hat 名下 `@redhat-cloud-services` 命名空间超过 30 个 npm 包遭供应链攻击,遭到攻击者投放 Shai-Hulud 新变种“Miasma”。

安全公司 Aikido 称,这些包每周下载约 117000 次,攻击目标包括开发者凭据、云密钥、SSH 密钥和 CI / CD Token。

Aikido 与 OX Security 发现,多批 npm 包版本被加入后门。Red Hat 向 BleepingComputer 表示,公司已启动调查,并从 npm 注册表移除受影响包。

Red Hat 称,现有调查显示本次事件限于内部开发工具,恶意代码未通过 console.redhat.com 面向客户发布。

Aikido 称,攻击者据称先入侵一名 Red Hat 员工的 GitHub 账户,再向多个仓库直接推送恶意提交。这些提交加入 GitHub Actions 工作流和脚本,滥用 npm 发布机制,把带后门的版本发布出去。IT之家附上原文相关示意图如下:

技术细节显示,工作流运行后会安装 Bun,并执行 `_index.js`。脚本利用 `id-token:write` 权限向 GitHub 申请短期 OIDC Token,再用该 Token 连接 npm 的 trusted publishing 端点。

Aikido 称,恶意载荷约 4.2MB,可窃取 GitHub Actions secrets、AWS、Google Cloud、Azure 凭据、HashiCorp Vault Token、Kubernetes 服务账户 Token、npm 与 PyPI 发布 Token、SSH 密钥、Docker 凭据、GPG 密钥和 `.env` 文件。因此,安装过受影响版本的组织应立即轮换相关凭据、密钥和 Token。

这波攻击延续了近几个月 Shai-Hulud 相关供应链攻击的趋势,Bitwarden、SAP、Mistral、TanStack、OpenAI 和 GitHub 等项目此前也受影响。

研究人员称,Miasma 与 Mini Shai-Hulud 相似,但增加混淆、多阶段载荷投递和更强的数据窃取能力。截至原文发布时,已有 309 个 GitHub 仓库受到 Miasma 活动影响。

相关内容

热门资讯

Mark Nitzberg:A... 7月17日,2026世界人工智能大会暨人工智能全球治理高级别会议主论坛上,加州大学伯克利分校人工智能...
探路“物业+AI”“浙”小区很... “宝宝烧到40度,我整个人都慌了,多亏小王她们像家人一样帮忙!”提起去年12月的那场意外,浙江省杭州...
传豆包AI眼镜首代产品被内部取... 编译/VR陀螺据多位产业链人士透露,字节跳动已在内部取消原计划于2026年4月发布的第一代豆包AI眼...
把AI助手装进耳机,千问首款A... 7月17日,2026世界人工智能大会首日,千问首款AI智能体耳机正式亮相。该耳机采用可全天候佩戴的耳...
周鸿祎:中国AI正在下一盘大旗... 快科技7月17日消息,今日,360创始人周鸿祎发布视频提出一个核心判断:中国AI正在悄然掌握全球AI...
全球首个千亿参数级!“风和”模... 7月17日,在2026世界人工智能大会(WAIC)气象专会上,中国气象局发布人工智能气象服务系统“风...
月之暗面发布全球最大规模开源模... 新京报贝壳财经讯(记者张晓翀张晓慧)7月16日,月之暗面官方宣布,推出迄今为止公司能力最强的大模型K...
用于CAE AI代理模型的开源... 构建AI代理模型替代传统求解时,仿真数据集是重要基础。除了企业使用自身数据构建,市场上也存在一些开源...
全球首个千亿参数级,“风和”模... 钛媒体App7月17日消息,在2026世界人工智能大会(WAIC)气象专会上,中国气象局发布人工智能...